本发明专利技术涉及一种远程电子取证系统包括远程端、现场端,现场端与远程端通过网络通信连接。远程端包括取证分析模块、取证插件数据库、设备驱动数据库、数字签名模块。现场端包括硬盘备份装置、取证装置,取证装置与硬盘备份装置通过数据线连接。硬盘备份装置包括硬盘备份端口、备份硬盘。取证装置包括取证操作系统、取证模块,取证模块包括备份硬盘分析模块、证据提取模块、取证报告数据库。本发明专利技术还公开了一种远程电子取证方法,包括现场克隆取证系统、远程分析取证系统、数据采集、数据分析等过程。本发明专利技术采用硬盘备份以及安全的取证环境进行数据采集、分析,具有安全、可靠的特点。
A remote electronic forensics system and method
【技术实现步骤摘要】
一种远程电子取证系统及方法
本专利技术涉及一种电子取证系统及方法,特别涉及一种改进的远程电子取证系统及方法,属于电子取证领域。
技术介绍
电子取证是指利用计算机软硬件技术,以符合法律规范的方式对计算机入侵、破坏、欺诈、攻击等犯罪行为进行证据获取、保存、分析和出示的过程,具体是指运用先进的辨析技术,对计算机犯罪行为进行解剖,搜寻、提取罪犯证据。现阶段犯罪手段的数字化日益显现,搜集有效的电子证据成为破案的关键。现有电子取证方法在取证环境和取证的可靠性方面均存在问题。
技术实现思路
本专利技术远程电子取证系统及方法公开了新的方案,采用硬盘备份以及安全的取证环境进行数据采集、分析,解决了现有方案存在的取证环境以及取证可靠性方面的问题。本专利技术远程电子取证系统包括远程端、现场端,现场端与远程端通过网络通信连接。远程端包括取证分析模块、取证插件数据库、设备驱动数据库、数字签名模块,取证分析模块用于分析现场取证目标系统,取证插件数据库用于存储、管理取证插件信息,设备驱动数据库用于存储、管理设备驱动信息,数字签名模块用于数字签名。现场端包括硬盘备份装置、取证装置,取证装置与硬盘备份装置通过数据线连接。硬盘备份装置包括硬盘备份端口、备份硬盘,硬盘备份端口用于传输复制取证硬盘数据,备份硬盘用于存储取证硬盘数据。取证装置包括取证操作系统、取证模块,取证模块包括备份硬盘分析模块、证据提取模块、取证报告数据库,取证操作系统用于启动备份硬盘,备份硬盘分析模块用于分析备份硬盘上系统信息,证据提取模块用于提取证据信息,取证报告数据库用于存储、管理取证报告。本专利技术还公开了一种远程电子取证方法,远程电子取证方法基于远程电子取证系统,远程电子取证系统包括远程端、现场端,现场端与远程端通过网络通信连接。远程端包括取证分析模块、取证插件数据库、设备驱动数据库、数字签名模块。现场端包括硬盘备份装置、取证装置,取证装置与硬盘备份装置通过数据线连接。硬盘备份装置包括硬盘备份端口、备份硬盘。取证装置包括取证操作系统、取证模块,取证模块包括备份硬盘分析模块、证据提取模块、取证报告数据库。方法包括过程:现场端通过硬盘备份端口将取证硬盘的数据拷贝至备份硬盘,取证操作系统启动备份硬盘,备份硬盘分析模块分析备份硬盘系统得到备份硬盘系统信息发送给远程端的取证分析模块,取证分析模块根据备份硬盘系统信息从设备驱动数据库调取对应的设备驱动后发送给现场端加载,取证分析模块根据备份硬盘系统信息从取证插件数据库调取对应的取证插件后发送给现场端执行得到分析结果,证据提取模块根据分析结果对备份硬盘系统中的相关文件、数据进行标记、提取得到证据信息后形成取证报告,数字签名模块对取证报告进行数字签名后存入取证报告数据库。进一步,本方案方法的取证模块还包括数据恢复模块、恢复信息数据库,数据恢复模块恢复备份硬盘上遭到破坏、删除的数据存入恢复信息数据库,证据提取模块从恢复信息数据库中提取证据信息写入取证报告。进一步,本方案方法的取证模块还包括密码破解模块、解密信息数据库,密码破解模块解除备份硬盘上的加密文件、压缩包、数据后将解密数据存入解密信息数据库,证据提取模块从解密信息数据库中提取证据信息写入取证报告。本专利技术远程电子取证系统及方法采用硬盘备份以及安全的取证环境进行数据采集、分析,具有安全、可靠的特点。附图说明图1是远程电子取证系统的原理图。具体实施方式如图1所示,本专利技术远程电子取证系统包括远程端、现场端,现场端与远程端通过网络通信连接。远程端包括取证分析模块、取证插件数据库、设备驱动数据库、数字签名模块,取证分析模块用于分析现场取证目标系统,取证插件数据库用于存储、管理取证插件信息,设备驱动数据库用于存储、管理设备驱动信息,数字签名模块用于数字签名。现场端包括硬盘备份装置、取证装置,取证装置与硬盘备份装置通过数据线连接。硬盘备份装置包括硬盘备份端口、备份硬盘,硬盘备份端口用于传输复制取证硬盘数据,备份硬盘用于存储取证硬盘数据。取证装置包括取证操作系统、取证模块,取证模块包括备份硬盘分析模块、证据提取模块、取证报告数据库,取证操作系统用于启动备份硬盘,备份硬盘分析模块用于分析备份硬盘上系统信息,证据提取模块用于提取证据信息,取证报告数据库用于存储、管理取证报告。上述方案采用硬盘备份以及安全的取证环境进行数据采集、分析,利用安全的取证操作系统启动取证硬盘系统,提高了数据取证的安全性、可靠性。本专利技术还公开了一种远程电子取证方法,远程电子取证方法基于远程电子取证系统,远程电子取证系统包括远程端、现场端,现场端与远程端通过网络通信连接。远程端包括取证分析模块、取证插件数据库、设备驱动数据库、数字签名模块。现场端包括硬盘备份装置、取证装置,取证装置与硬盘备份装置通过数据线连接。硬盘备份装置包括硬盘备份端口、备份硬盘。取证装置包括取证操作系统、取证模块,取证模块包括备份硬盘分析模块、证据提取模块、取证报告数据库。方法包括过程:现场端通过硬盘备份端口将取证硬盘的数据拷贝至备份硬盘,取证操作系统启动备份硬盘,备份硬盘分析模块分析备份硬盘系统得到备份硬盘系统信息发送给远程端的取证分析模块,取证分析模块根据备份硬盘系统信息从设备驱动数据库调取对应的设备驱动后发送给现场端加载,取证分析模块根据备份硬盘系统信息从取证插件数据库调取对应的取证插件后发送给现场端执行得到分析结果,证据提取模块根据分析结果对备份硬盘系统中的相关文件、数据进行标记、提取得到证据信息后形成取证报告,数字签名模块对取证报告进行数字签名后存入取证报告数据库。上述方案采用硬盘备份以及安全的取证环境进行数据采集、分析,利用安全的取证操作系统启动取证硬盘系统,在安全的取证操作系统中加载各种驱动,远程端根据系统分析结果选择取证插件进行取证分析,取证报告进行电子签名后存入数据库,远程端可以从该数据库调取数据,从而避免了大量数据的网络传送,提高了远程取证效率以及数据的安全性和可靠性。为了挽救因删除、更新等操作而丢失的有效数据,还原原始证据数据,本方案方法的取证模块还包括数据恢复模块、恢复信息数据库,数据恢复模块恢复备份硬盘上遭到破坏、删除的数据存入恢复信息数据库,证据提取模块从恢复信息数据库中提取证据信息写入取证报告。恢复的数据中可能存在重要的证据信息,对取证工作具有决定性意义。为了破除取证系统内文件、数据的加密保护,采集更加有效的证据数据,本方案方法的取证模块还包括密码破解模块、解密信息数据库,密码破解模块解除备份硬盘上的加密文件、压缩包、数据后将解密数据存入解密信息数据库,证据提取模块从解密信息数据库中提取证据信息写入取证报告。解密的内容可能涉及某些重要的证据信息,也可能给取证工作带来颠覆性的突破。本方案公开的系统、装置、模块等除有特别说明外,均可以采用本领域公知的通用、惯用的方案实现,涉及到算法的可以采用公知的通用、惯用算法,也可以根据具体情况进行适当修改。本方案远程电子取证系统及方法并不限于具体实施方式中公开的内容,实施例中出现的技术方案可以基于本领域技术人本文档来自技高网...
【技术保护点】
1.一种远程电子取证系统,其特征是包括远程端、现场端,所述现场端与所述远程端通过网络通信连接,所述远程端包括取证分析模块、取证插件数据库、设备驱动数据库、数字签名模块,所述取证分析模块用于分析现场取证目标系统,所述取证插件数据库用于存储、管理取证插件信息,所述设备驱动数据库用于存储、管理设备驱动信息,所述数字签名模块用于数字签名,所述现场端包括硬盘备份装置、取证装置,所述取证装置与所述硬盘备份装置通过数据线连接,所述硬盘备份装置包括硬盘备份端口、备份硬盘,所述硬盘备份端口用于传输复制取证硬盘数据,所述备份硬盘用于存储取证硬盘数据,所述取证装置包括取证操作系统、取证模块,所述取证模块包括备份硬盘分析模块、证据提取模块、取证报告数据库,所述取证操作系统用于启动备份硬盘,所述备份硬盘分析模块用于分析备份硬盘上系统信息,所述证据提取模块用于提取证据信息,所述取证报告数据库用于存储、管理取证报告。/n
【技术特征摘要】
1.一种远程电子取证系统,其特征是包括远程端、现场端,所述现场端与所述远程端通过网络通信连接,所述远程端包括取证分析模块、取证插件数据库、设备驱动数据库、数字签名模块,所述取证分析模块用于分析现场取证目标系统,所述取证插件数据库用于存储、管理取证插件信息,所述设备驱动数据库用于存储、管理设备驱动信息,所述数字签名模块用于数字签名,所述现场端包括硬盘备份装置、取证装置,所述取证装置与所述硬盘备份装置通过数据线连接,所述硬盘备份装置包括硬盘备份端口、备份硬盘,所述硬盘备份端口用于传输复制取证硬盘数据,所述备份硬盘用于存储取证硬盘数据,所述取证装置包括取证操作系统、取证模块,所述取证模块包括备份硬盘分析模块、证据提取模块、取证报告数据库,所述取证操作系统用于启动备份硬盘,所述备份硬盘分析模块用于分析备份硬盘上系统信息,所述证据提取模块用于提取证据信息,所述取证报告数据库用于存储、管理取证报告。
2.一种远程电子取证方法,所述远程电子取证方法基于远程电子取证系统,所述远程电子取证系统包括远程端、现场端,所述现场端与所述远程端通过网络通信连接,所述远程端包括取证分析模块、取证插件数据库、设备驱动数据库、数字签名模块,所述现场端包括硬盘备份装置、取证装置,所述取证装置与所述硬盘备份装置通过数据线连接,所述硬盘备份装置包括硬盘备份...
【专利技术属性】
技术研发人员:陈贤斌,
申请(专利权)人:上海越钰信息技术有限公司,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。